Объекты групповой политики (GPO – GroupPolicyObjects) + Административные шаблоны + Шаблоны безопасности

Primary tabs

vedro-compota's picture
Submitted by vedro-compota on Fri, 11/30/2012 - 11:48

Forums:

Объекты групповой политики (GPO – GroupPolicyObjects) представляют собой набор конфигурационных параметров операционной системы и ее приложений.

Существуют два типа GPO:
1. AD GPO могут быть ассоциированы с объектами каталога контейнерного типа:

  1. • домен
  2. • организационная единица
  3. • сайт

2. Локальные GPO – хранятся на каждом компьютере. Поддерживают сокращенный набор настроек, имеют наименьший приоритет, если компьютер включен в домен.

Существуют два вида параметров групповой политики:

  1. конфигурационные параметры компьютера
  2. и пользовательские параметры.

Порядок применения GPO(иерархия):

  • • GPO уровня узла
  • • GPO уровня сайта
  • • GPO уровня домена
  • • GPO уровня организационных единиц

На порядок применения можно влиять с помощью =

  1. запрещения наследования (BlockInheritance) для домена или OU
  2. запрещения перекрытия (Nooverride, enforced)
  3. и замыкания на себя (loopback).

Кроме того, применением GPO можно управлять с помощью т.н. "Security filtering"
Наследование:

  1. • Наследуются параметры, которые определены для родительского контейнера, но не определены для дочернего.
  2. • В случае множества значений параметра, настройки родительского GPO дополняют GPO дочернего.

Последовательность применения политик при загрузке ОС и входе пользователя:

  1. • Запуск службы MSRPC
  2. • Загрузка списка GPO с DC
  3. • Применение конфигурационных параметров в порядке: локальный GPO, GPO сайта, GPO домена, GPO подразделения
  4. • Выполнение сценариев (по умолчанию таймаут 10 минут)
  5. • Приглашение ко входу в систему, вход
  6. • Загрузка списка GPO пользователя
  7. • Применение конфигурационных параметров пользователя
  8. • Отображается пользовательский интерфейс

Организация GPO:

  1. • Однородная
  2. • Комбинированная
  3. • Раздельная

Могут использоваться различные стратегии по организации GPO:

  1. • многоуровневая (хранение централизованное)
  2. • единая (хранение распределенное) структура ОГП.

Расположение параметров политик:
Реестр (registry) - иерархическая БД, состоящая из т.н. «ульев» или «кустов» (англ. hives).
Куст содержит ключи, подключи и значения параметров. Каждый куст содержится в файле %systernгооt%\config. Редактируется программой regedit.

Административные шаблоны (AdministrativeTemplates):
• Административный шаблон представляет собой текстовый файл *.adm (на языке ADM) в Unicode и хранится в папке %SystemRoot%\inf (например, system.adm). Файл содержит перечисление ключей и параметров реестра.
• AT позволяют администратору посредством групповой политики конфигурировать hivesHKLM и HKCU системного реестра компьютеров домена.
• Обычно используются ветви HKLM\Software\Policies (управление параметрами компьютера) и HKCU\Software\Policies (управление средой пользователей).
\Policies очищаются системой при каждом применении или отзыве объекта групповой политики. В случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.

Примеры АТ:

  1. • System.adm - административный шаблон, используемый для настройки различных параметров системы
  2. • Wmplayer.adm - административный шаблон, используемый для настройки приложения WindowsMediaPlayer
  3. • Wuau.adm - административный шаблон, используемый для настройки службы автоматического обновления

Шаблоны безопасности:

Шаблоны безопасности позволяют создавать типовые профили безопасности, соответствующие требованиям организации. Для формирования шаблонов используется консоль «Анализ и настройка безопасности» и готовые шаблоны из %windir%\Security\Templates.Затем шаблон можно импортировать в компонент групповой политики «Параметры безопасности».

Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:

  1. • подготавливаются необходимые шаблоны безопасности;
  2. • создается БД безопасности;
  3. • применяются шаблоны безопасности:

используются: утилита secedit, консоль «Анализ и настройка безопасности» или групповая политика;

  • • secedit /generaterolleback - шаблон отката

IntelliMirror

1. Возможности IntelliMirror (набор технологий управления ИТ-инфраструктурой снижающих т.н. стоимость эксплуатации (totalcostofownership, TOO))
Управление данными (DataManagement)

  1. ? перенаправление каталогов (FolderRedirection)
  2. ? автономные файлы (OfflineFolders)
  3. ? дисковые квоты

Управление пользовательскими параметрами настройки (Desktop
SettingsManagement)
• Установка и сопровождение ПО (Software Installation and Maintenance)
• Службы удаленной установки (RIS)

2. Технологии, входящие в состав IntelliMirror

  1. • Служба каталогов ActiveDirectory
  2. • Групповая политика GroupPolicy
  3. • Перемещаемые профили пользователя RoamingUserProfiles
  4. • Перенаправление каталогов FolderRedirection
  5. • Автономные файлы OfflineFolders

Изменения в Server 2008:
• Режимы совместимости (domain functional level (DFL), forest (FFL))
? Windows 2000 native
? Windows Server 2003
? Windows Server 2008
• Детальныеполитикипаролей: AD DS Fine-Grained Password
Password Settings Object (PSO)
• Kerberos
AES 256
• НовыйXML-формат, централизованное местонахождение, локализация шаблонов admx,adml
• Изменениявслужбах AD:
? Active Directory Domain Services (AD DS)
? Active Directory Lightweight Directory Services (AD LDS) - было ADAM
? Active Directory Federation Services (AD FS) — Single Sign On, SSO
? Active Directory Certificate Services (AD CS)
? Active Directory Rights Management Services (AD RMS)

Key Words for FKN + antitotal forum (CS VSU):

  • Log in to post comments
  • 6505 reads